- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Hinnye. Ha egy ilyen nem derul ki, az nem kicsit para. Meg szerencse, hogy kiderult, de a kisordog bennem felteszi a kerdest: vajon hany olyan szeleskoruen hasznalt projekt van, ahol meg nem derult ki, hogy az "official" kod kompromittalt?
- A hozzászóláshoz be kell jelentkezni
Az kicsit talan megnyugtato hogy elvileg nem github-on tortent a konkret hackeles hanem az elozo repon (git.php.net) ahonnan csak tukroztek a dolgokat githubra.
Most le is lovik az eredeti repot es atmennek teljesen githubra.
De igen, egyetertek. Elkepeszto story
- A hozzászóláshoz be kell jelentkezni
Volt a múltban pár olyan OpenSSL bug, aminek a javítását mikor megnéztem, felmerült bennem, hogy az eredeti hiba szándékos lehetett. Persze az is lehet, hogy a kódminőség általánosan ennyire borzalsmasan gyatra, de pl. mikor egy kapcsos zárójel hiányzott a cert chain validációnál, az nagyon durva programozói hiba volt, és véletlenül pont a "jó" helyen.... És éveken át benne volt... mit röhöghetett a világ összes titkosügynöksége, manyeyeballs, nesze.
- A hozzászóláshoz be kell jelentkezni
Mekkora munka lehet egy ilyen támadásban. Amikor ezek feltörték a rendszert, már készen volt módosítás, le lett tesztelve, el lett rejtve. Összességében hogy tudnak ennyien full timeban rosszindulatú kódon dolgozni?
- A hozzászóláshoz be kell jelentkezni
azert azt az evalt jobban elrejthettek volna... :) 6-kor commitoltak az okossagot, 9kor mar jott a "what does this do?" kerdes.
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
"Összességében hogy tudnak ennyien full timeban rosszindulatú kódon dolgozni?"
Van az a pénz.
- A hozzászóláshoz be kell jelentkezni
Elég összehasonlitani megbizhatónak jelölt repók branch HEADjein a sha1-el, és ha passzol, minden rendben. Gitben a commit sha1 függ az egész parent historytól mindenestül, igy nem lehet észrevétlenül manipulálni.
Persze ennek a vizsgálatnak feltétele hogy létezzen megbizható repó másolat, pl. offline backup.
- A hozzászóláshoz be kell jelentkezni
Hát akkor bizonyára így kibertámadták meg a Covid oltást lekérdező honlapot. :)
- A hozzászóláshoz be kell jelentkezni
Nem, azt úgy, hogy rendeltetésszerűen emberek használták.
- A hozzászóláshoz be kell jelentkezni
Thank you, Captain Obvious. :)
- A hozzászóláshoz be kell jelentkezni
Nem mindenkinek Obvious.
Aki ezt felhozza mint szakmai hibát, a következőt kapja egyes támogatoktól:
- politikai motiváció
- oltási számok #1 Európában
- és amúgy se picsogjak
- A hozzászóláshoz be kell jelentkezni
Kemény.
Mi a töcsnek van egyébként ópenszósz projekteknek saját git repója? Az extra üzemeltetési fejfájáson kívül miben ad többet?
- A hozzászóláshoz be kell jelentkezni
Mondjuk ha megtörik a githubot akkor legalább az hiteles lesz?
- A hozzászóláshoz be kell jelentkezni
Egyaltalan mi a tocsnek van openszosz projekt ? Az extra fejfejason kivul ?
- A hozzászóláshoz be kell jelentkezni
A Microsoft mit mond erre? Az open source egyik 21. századi élharcosa?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A HUP miért nem opensource?
- A hozzászóláshoz be kell jelentkezni
Nem követem a HUP motorjának nyílt/zárt arányának változásait, de tudtommal gyakorlatilag az egész open source. Amit nevergone maga írt hozzá, azzal kapcsolatban nem tudom mi a helyzet, de mintha abban maradtunk volna, hogy majd egyszer nyilvánosságra hozza, illetve ír egy "Hogyan készült" összefoglalót is. Amint befejezte.
A Drupal 8 forrása nem érhető el? Vagy azoknak a nyílt forrású Drupal moduloknak a felsorolását hiányolod amik használatban vannak?
Nálam egyébként nyitott kapukat döngetsz, akár ebben a percben is publikálható miattam az összes kód. Csak, hát nem én döntök róla. A résztvevők az ügyben: HWSW kiadó mint megbízó, nevergone mint vállalkozó
Miben tudok még segíteni?
Esetleg az én kérdésemre valami válasz lesz?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A nyílt vs zárt forrás témakörben már ezernyi érv elhangzott. Szerintem nem kell nekem itt magyarázkodnom, mi a nyílt forrás haszna, üsd be gugliba ha neked ez újdonság.
Ellenben nem sok hasznát látom a saját hostolt git repónak egy nyílt projekt esetében. Illetve max mint backup repó látnám értelmét, de itt nem erről van szó. Az extra üzemeltetési fejfájás mellett még a saját fejlesztőit is szopatja a projekt, jellemzően a saját git host tudása, webes felülete jelentősen elmarad a githubétól/gitlabétól, illetve a projektbe beszállási küszöb is magasabb.
- A hozzászóláshoz be kell jelentkezni
Tan itt lenne az ideje GPG-vel alairni azokat a commitokat, ugy nem tudna barki barki neveben commitolgatni.
- A hozzászóláshoz be kell jelentkezni